O

d wersji jądra 5.14 został wprowadzony zestaw poprawek dający systemowi Linux opcjonalną blokadę jądra mającą na celu wzmocnienie granicy między prawami administracyjnymi, a jądrem. Po jej włączeniu różne elementy funkcjonalności jądra (w tym nisko poziomowy dostęp do sprzętu) są ograniczone dla różnych programów. Większość głównych dystrybucji Linuksa zawiera już zestaw tych poprawek pod postacią zaczepu (ang. hook) do Linux Security Modules (LSM), czyli programowalnego szkieletu do implementacji polityk bezpieczeństwa (ang. security policies) i obowiązkowej kontroli dostępu (ang. Mandatory Access Control) w jądrze systemu. Lockdown LSM zapewnia prostą implementację poziomu blokady jądra za pomocą wiersza poleceń jądra lub pseudo systemowi plików sysfs. Listę aktywnych modułów bezpieczeństwa w LSM można znaleźć odczytując plik: /sys/kernel/security/lsm. Jest to lista rozdzielona przecinkami, odzwierciedlająca kolejność, w jakiej przeprowadzane są sprawdzenia modułów.
[ czytaj całość… ]

A

ppArmor to system obowiązkowej kontroli dostępu (ang. Mandatory Access Control – MAC), który jest rozszerzeniem jądra (ang. Linux Security Modules – LSM) w celu ograniczenia programów do określonego zestawu zasobów. Model bezpieczeństwa AppArmor polega na przywiązywaniu atrybutów kontroli dostępów z programami, a nie z użytkownikami. Ograniczenia są obsługiwane za pomocą profili ładowanych do jądra – najczęściej podczas rozruchu systemu. Profile posiadają zazwyczaj dwa tryby pracy: egzekwowania (ang. enforcement) oraz uskarżania (ang. complain). Profile załadowane w trybie egzekwowania zasad spowodują wymuszanie ograniczeń zdefiniowanych w profilu, a także zgłaszanie prób ich naruszenia za pomocą daemona syslog lub auditd. Profile w trybie składania skarg nie będą egzekwować zasad tylko raportować próby ich naruszenia. Istnieje jeszcze trzeci tryb – audytu (ang. audit), w którym logowane są wszystkie sukcesy i niepowodzenia stosowania zasad z profilu.
[ czytaj całość… ]

Prawie każdy dostawca internetu ma w zwyczaju przywiązywanie się do jednego producenta sprzętu. Hurtowe zamówienia, hurtowe ceny. Jeśli zapytamy shodana o modemy nasłuchujące na porcie 8443 oraz firmę Verizon Wireless otrzymamy dostęp do tysięcy urządzeń pochodzących od firmy cradlepoint. Jest to firma, która wykorzystuje do uwierzytelniania dane z adresu MAC, który powinien być unikalny dla każdego wyprodukowanego routera. Ogólnie rzecz biorąc wydawać się może, że zachowanie to dostarcza więcej entropii w schemacie uwierzytelniania niż ma to miejsce w przypadku domyślnego mechanizmu hasła, którego większość producentów routerów LAN/WAN jeszcze używa.
[ czytaj całość… ]

K

iedyś ku mojemu zdziwieniu prosząc znajomego o udostępnienie WiFi zobaczyłem, że używa jeszcze szyfrowania typu WEP. Po serii epitetów o mądrości tego rozwiązania – otrzymałem odpowiedź, że przy innych formach szyfrowania ma bardzo słaby zasięg na drugim piętrze swojego mieszkania, a z tym przynajmniej działa mu w miarę płynnie Internet i poza tym, kto by się trudził w jakieś tam łamanie szyfru i inne afery szpiegowskie. Pozwoliłem sobie zademonstrować mu ile trudu trzeba włożyć, aby zacząć korzystać z jego sieci domowej oznajmiając, że sam podłącze się do jego routera bez jego pomocy.
[ czytaj całość… ]

S

poofing to dobrze znane pojęcie w dziedzinie bezpieczeństwa opisujące sytuację, w której osoba bądź program z powodzeniem podszywa się pod inną bądź inny. Powszechną techniką jest tutaj ref-tar spoofing. Smart spoofing IP opiera się na kombinacji zatruwania cache’u ARP, translacji adresów sieciowych (NAT) i routingu.
[ czytaj całość… ]

N

etdiscover jest aktywno/pasywnym narzędziem do przeprowadzania rekonesansu w sieci lokalnej (LAN) głównie zaprojektowanym dla sieci bezprzewodowych, np. po przeprowadzeniu udanego wardrivingu w celu orientacji w sieci. Bez problemu jednak może zostać użyte w sieciach przewodowych opartych o huby, routery i przełączniki.
[ czytaj całość… ]

K

ażdy interfejs sieciowy (na przykład karta sieciowa) w komputerze lub innym urządzeniu posiada unikalny sprzętowy adres zaimplementowany przez producenta. ARP (Adress Resolution Protocol) – jest protokołem rozróżniania tych adresów. Jego zadaniem jest przetłumaczyć abstrakcyjny adres IP na bardzo konkretny adres sprzętowy urządzenia sieciowego. Kiedy host zamierza rozpocząć sesję, wysyła komunikat ARP z adresem IP komputera docelowego.
[ czytaj całość… ]

Z

a pomocą komendy ip dostępnej w każdej dystrybucji Linuksa możemy w bardzo prosty sposób wyświetlić / manipulować routingiem i jego polityką, urządzeniami sieciowymi oraz tunelami. Do wyświetlania informacji o interfejsach możemy dodatkowo używać komendy ifconfig. Poniższa komenda wyświetli adres ip dla interfejsu eth0:
[ czytaj całość… ]

A

dres MAC jest unikalnym adresem sprzętowym komputera w sieci. W sieciach Ethernet i Token Ring, adres MAC jest zapisywany na stałe przez producenta w karcie sieciowej. W wielu różnych systemach informacje o tym adresie można uzyskać na wiele różnych sposobów:
[ czytaj całość… ]